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Procede et dispositif de resolution de modeles et utilisation pour la 
detection des attaques contre les systemes informatiques 

La presente invention conqerne un procede et dispositif de resolution 
de modeles et son utilisation pour la detection des attaques contre les 
5 systemes informatiques. 

Les systemes informatiques s6cu rises peuvent etre soumis a des 
attaques ou tentatives d' introduction frauduleuse. En general, on essaie de 
parer a ces attaques en etablissant des fichiers compte-rendu, par exemple, 
des fichiers compte-rendu systeme (log system) ou des fichiers compte- 

10 rendu r6seau (log r§seau) et en effectuant des filtrages sur ces fichiers pour 
detecter un incident ou une intrusion. Les systemes qui font de Paudit de 
fichiers de compte-rendu reposent gen6ralement sur une methode 
compliquee qui pose des probl&mes £ I'ecriture et, de plus, I' audit resultant 
est difficile k lire. Par ailleurs, lorsque I'intrusion se fait en plusieurs stapes 

15 successives non concomitantes, le systeme peut tres bien ne pas la detecter. 
Par ailleurs, I'ecriture des conditions d'audit est peu souple, peu modifiable et 
pose des problemes de modularity. Ainsi, dans la plupart des systemes 
fonctionnant d Paide de regies il est necessaire de decrire les conditions 
d'audit sous forme de programmes decrivant les declenchements de regies 

20 conditionnes par des evenements ; par exemple, pour decrire une condition 
d'audit specifiant une etape A, suivie quelque temps plus tard de B, suivie 
quelque temps plus tard de C, il faudra decrire des regies d'attente de Petape 
A, qui en cas de succes devront d6clencher des regies d'attente de Petape B, 
qui en cas de succes devront declencher des regies d'attente de Petape C. 

25 Cette fagon de decrire la suite A, B f C est lourde, est cause d'erreurs 
difficiles a detecter par une simple lecture. Enfin, certains systemes connus 
necessitent de balayer plusieurs fois les fichiers compte-rendu. 

Un but de P invention est done de proposer un procede performant de 
resolution de specifications. 
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Ce but est atteint par le fait que le procede performant de resolution 
de specifications comporte : 

a) une etape de formulation des conditions d'audit que Ton veut 
detecter £ Paide de formules de specification, exprimant des sch6mas 

5 d'attaque ou d'introduction frauduleuse, ou encore d'anomalies, ceci n'6tant 
pas limitatif, a verifier par Texamen des enregistrements du fichier compte- 
rendu du systeme ; 

b) une etape d'expansion des formules en sous-formules; 

c) une etape consistant a engendrer pour chaque formule expans§e 
10 a chaque enregistrement des clauses de Horn a resoudre pour detecter si la 

formule est valide ou non a cet enregistrement, les clauses de Horn 
exprimant les implications resolvantes des sous-formules pour chaque 
enregistrement balaye, en clauses positives, c'est-a-dire ne comptant qu'un 
litteral positif, et en clauses non positives, c'est-a-dire comptant au moins un 
is litteral n6gatif, lesquels litteraux negatifs forment la partie negative de la 
clause. 

d) une 6tape de memorisation des clauses de Horn positives dans 
une pile de sous-formules oeuvrees et une etape de memorisation dans un 
tableau comportant une representation de la ou des sous-formules 

20 impliquantes constituant la partie negative de la clause et du lien avec la ou 
les sous-formules impliquees constituant la partie positive de la clause et 
memorisation dans un compteur du nombre de formules ou sous-formules 
presentes dans la partie negative de la clause pour chaque sous-formule 
impliquee ; 

25 e) une etape de resolution du tableau a partir de chaque clause 

positive rencontree ; 

f) une etape d' iteration des etapes b) a e) jusqu'au parcours complet 
de tous les enregistrements du fichier compte-rendu. 

Un autre but est de permettre une grande flexibilite. 
30 Ce but est atteint par le fait que le procede utilise pour la formulation 

de la specification une logique temporelle. 


Selon une autre particularite, le tableau est matriciel et indexg en 
colonnes par les indices des formules apparaissant dans la partie negative 
des clauses de Horn et les lignes sont exactement les clauses de Horn. 

Selon une autre particularite le tableau est repr6sente sous forme de 
5 matrice creuse, les colonnes 6tant representees au moyen de listes chainees 
et les lignes demeurant implicites, est pr6f6r6e. 

Selon une autre particularite, une optimisation de I'expansion des 
formules est obtenue par une table de hachage dans le but d'assurer qu'une 
meme formule n'est pas expansee plus d'une fois a chaque enregistrement. 
10 Selon une autre particularite, le fichier compte-rendu n'est parcouru 

qu'une seule fois du debut jusqu'£ la fin. 

Un autre but est de proposer un dispositif permettant la mise en 
ceuvre du procede. 

Ce but est atteint par le fait que le dispositif performant de resolution 
15 d'une specification comporte : 

- un logiciel adaptateur permettant de traduire les informations du 
fichier compte-rendu, formul§es dans le langage specifique de la machine en 
un langage comprehensible de Finterpreteur ; 

-un interpreteur recevant les informations de I'adaptateur et recevant 
20 la formulation de la specification dans la logique temporelle en une formule 
de specification pour expanser cette formule et remplir le tableau et la pile de 
sous-formules deuvrees decrits plus haut resultant du balayage du fichier 
compte-rendu de la machine ; 

- un algorithme de traitement de clauses permettant de resoudre les 
25 clauses de Horn utilisant les informations du tableau et de la pile de sous- 
formules ceuvrees, cet algorithme de traitement de clauses g6n6rant un 
fichier de sortie ou generant une action. 

D'autres particularites et avantages de la presente invention 
apparaTtront plus clairement a la lecture de la description ci-apres faite en 
30 reference aux dessins annexes dans lesquels : 

- la figure 1 represente une vue schematique des elements materiels 
et logiciels permettant la mise en oeuvre du procede. 
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- la figure 2 represente le contenu de la table, des compteurs de 
formules ou sous-formules presentes dans les parties negatives des clauses, 
et de la pile, et leur evolution au cours de la mise en oeuvre du procede. 

La figure 1 repr6sente les elements n6cessaires & la mise en oeuvre 

5 du proc6d6 selon I'invention. Le fichier compte-rendu (1) est g6n6ralement 
present sur toutes les machines et peut etre le fichier compte-rendu reseau 
lorsque la machine est connectee a un reseau, ou un fichier compte-rendu 
systeme ou tout autre fichier sur lequel on veut verifier une specification. Ce 
fichier communique avec un adaptateur (2) qui est un logiciel permettant de 

10 traduire les informations contenues dans le fichier compte-rendu et 
exprim6es dans le langage sp6cifique a la machine en un langage 6volue 
comprehensible par un interpreteur (3). L' interpreteur (3) regoit egalement 
d'un module (4) la formule de la specification a verifier exprimee dans une 
logique temporelle. Cet interpreteur (3) realise I'expansion de la formule en 

15 sous-formules et le balayage de chaque enregistrement Ei (Annexe 2) du 
fichier compte-rendu (1) pour g6nerer, & I'aide de cette expansion et de ce 
balayage, un tableau et une pile resultants exprimant des clauses de Horn 
memorisees dans une rnemoire (5). La notion de clause de Horn est bien 
connue de I'homme du metier, et est decrite par exemple dans (Goubault- 

20 Larrecq, Jean et Mackie, Ian, Proof Theory and Automated Deduction, edit6 
par Kluwer, 1996). Ce tableau et cette pile sont exploits par un algorithme 
(6) de traitement de clauses qui regoit un ordre de lancement de I' interpreteur 
(3) une fois que ce dernier a rempli le tableau (5) contenant une table de 
compteurs (7), ainsi qu'une pile (18), apr6s avoir parcouru tous les 

25 enregistrements Ei du fichier. Cet algorithme va chercher la resolution de la 
specification par rapport a I'ensemble des enregistrements. Lors de la 
detection du balayage complet du fichier d'enregistrement (1), Talgorithme de 
traitement de clauses g6nere, soit un fichier de sortie, soit une action du 
systeme ou de la machine. 

30 Selon une optimisation du proc6d6 selon T invention, la phase de 

remplissage du tableau (6) et de la pile (18) et la phase de traitement de 
clauses sont effectu6es de fa?on concomitantes, de sorte que Talgorithme de 
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traitement de clauses puisse generer le fichier de sortie ou Taction du 
systeme ou de la machine au plus tot, et en general avant la detection du 
balayage complet du fichier d'enregistrement (1). 

Pour mieux comprendre le procede mis en oeuvre, celui-ci va etre 
5 explicite § I'aide d'un exemple dont les formules figureront en annexe a la fin 
de la description. Tout d'abord, un fichier de compte-rendu (log) est une suite 
d'enregistrements E = (E1, EN ) telle que representee a Tannexe 2. 
Chaque enregistrement Ei comporte un certain nombre d' informations telles 
que la date, l'op6ration concernee, la machine, un resultat, un sujet, cette 
10 liste n'etant pas limitative. 

Ainsi E1 signale que I'utilisateur machin a tente de se connecter mais 
a echou6. 

Pour formuler une specification, telle que celle representee & 
r annexe 1, que Ton veut detecter ou resoudre, on utilise une formule de 
15 specification dans une logique temporelle. Cette formule est d6crite selon la 
production formule suivante de la grammaire en format BNF bien connu de 
rhomme du metier (Aho, Alfred V. et Sethi, Ravi et Ullman, Jeffrey D., 
Compilers : Principles, Techniques and Tools, Addison-Wesley, 1986) : 

formule : : = atome 
20 | formule A formule 

| formule V formule 
| formule U formule 
| formule W formule 
atome : : = record 
25 | (formule) 

|-« atome 

|0 atome, la ligne suivante existe et a la ligne suivante, Tatome est 
vrai 

|0 atome, si la ligne suivante existe alors a la ligne suivante, 
30 T atome est vrai 
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|0 atome, il existe une ligne, soit la ligne courante, soit une ligne 
ulterieure, ratome est vrai 

| atome, pourtoutes les lignes a partir de la ligne courante, ratome 
est vrai 

5 

Les operateurs entre formules sont Toperateur « A » pour exprimer 
un « ET » logique, « V » pour exprimer un « OU » logique, « U » pour 
exprimer la formulation jusqu'a (until), « W » pour exprimer la formulation 
(Waiting-for) en attente de, « O » pour exprimer la formulation a la ligne 

10 suivante, qui existe, « 0 » pour exprimer la formulation & la ligne suivante, si 
elle existe, « 0 » pour exprimer la formulation & la ligne courante ou a une 
ligne ulterieure , « » pour exprimer la formulation a la ligne courante et a 
toute ligne ulterieure. Cette notation est bien connue de Thomme du metier, 
voir par exemple (Manna, Zohar et Pnueli, Amir, The Temporal Logic of 

is Reactive and Concurrent Systems Specification, Springer, 1992). Ainsi, la 
formulation temporelle F = F1 W F2 permet une formulation ais6e d'une 
specification a verifier. 

Supposons que Toperateur ait introduit, grace a une interface (4) 
homme-machine permettant la generation de formule temporelle, une 

20 formule temporelle telle que celle figurant en annexe 1 . 

U interface (4) va traduire cette formule de Pannexe 1 en une formule 
temporelle ou F et H sont des formules atomiques dans lesquelles F 
represente {op = « connection », result = « failed », ...} et H repr6sente {op = 
« connection », result = « success », ...}. Par ailleurs, nous supposons que le 

25 fichier de compte-rendu (1) contient les enregistrements E1 £ E3 repr6sentes 
en annexe 2. 

Dans un premier temps, Tinterpreteur (3) procede a r expansion de la 
formule pour chaque enregistrement E1, E2, E3, comme repr6sente & 
T annexe 6, en g6n6rant des sous-formules pour chaque enregistrement afin 
30 d'en deduire des clauses de Horn qui rendent compte des implications 
logiques qui existent entre une formule et ses sous-formules et de la 
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possibility de satisfaire les formules atomiques, comme represente d 
I'annexe 6. Ainsi pour I'enregistrement E1, la forrnule est expansee en la 
sous-formule F a laquelle correspond la clause (f 2 ), en la sous-formule OH a 
laquelle correspond la clause (f 2 ) A (/3)~>(/i), etc. L' interpreter (3) 

5 comporte une procedure d'optimisation qui permet de supprimer les 
redondances et les eta pes inutiles du tableau de r annexe 6 et apres 
optimisation, I'interpreteur retiendra uniquement les clauses engendrees 
correspondant au tableau de I'annexe 7. Pour faciliter la comprehension du 
tableau de I'annexe 7 ou du tableau de I'annexe 6, la notation OH signifie : « il 

10 existe une ligne, soit la ligne courante de I'enregistrement, soit une ligne 
ult6rieure ou la forrnule H est veriftee » ; pour verifier si F A OH est vraie d 
I'enregistrement E1, on numerate les couples (forrnule, enregistrement) 
appel6s configurations, dans I'exemple le couple (F A OH, E1) est numerate 
(1). L'interpr6teur (3) expanse la forrnule F A OH a I'enregistrement E1 en 

15 les formules F et OH. Le couple (F, E1) est numerate f 2t le couple (OH, E1) 
est numerate fz, et I'interpreteur genere la clause (f 2 ) A (/3)-»(/i), qui 
exprime que si la configuration f 2 et la configuration / 3 sont v6rifiees alors la 
configuration /1 est v6rifi6e, c'est-a-dire que F est verifiee a I'enregistrement 
E1. O(0H) signifie : « la ligne d'enregistrement suivante existe et a la ligne 

20 suivante OH est vraie », ceci correspond a la configuration / 6 pour le premier 
enregistrement. La forrnule HVO(OH) signifie « H est vrai ou la ligne 
d'enregistrement suivante existe et a la ligne suivante, il existe une ligne, soit 
la ligne courante, soit une ligne ulterieure ou H est vrai », ceci correspond 
aux configurations (/4> pour I'enregistrement E1, (/g) et (/u) pour 

25 I'enregistrement E2 et (/i 9 ), U23) et (/ 2 a) pour I'enregistrement E3. 
L'ensemble des clauses de Horn figurant dans la partie droite du tableau de 
I'annexe 7 est stocke dans la table (5), dans le compteur (7) et dans la pile 
(18) repr6sentes figure 2 de la fa$on suivante. Les colonnes de la table (5) 
sont index6es par les indices (/ 2 ), (/ 3 ), (M (/s), (/e), (/e), (/11), (/12) des 

30 formules apparaissant dans la partie negative de la clause. Seuls les indices 
impliquant une conclusion sont conserves. Les lignes de la table (5) sont 
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index6es par les indices (/i), (ft), (fi) des formules apparaissant dans la 
partie positive de la clause. La partie negative de la clause est la partie 
situee a gauche de la fteche duplication que Ton appellera par la suite la ou 
les sous-formules impliquantes. La partie positive est a droite de la fleche et 

5 sera appelee la formule impliquee. Cette representation n'est pas limitative et 
la representation sous forme de matrice creuse, les colonnes etant 
representees au moyen de listes chain6es et les lignes demeurant implicites, 
est pr6feree Toutefois pour bien comprendre I'invention celle-ci va etre 
expliquee d I'aide des notations de la figure 2. Pour bien comprendre la 

10 notation du tableau 7, la clause (/ 2 ) A (/3)-> (/1) signifie que si la 
configuration f 2 est v6rifiee et la configuration / 3 est v6rifiee alors la 
configuration /1 est verifiee. La clause f 7 -> fz signifie que si la configuration 
f 7 est verifiee alors la configuration f$ aussi. Par ailleurs, au cours de 
I'expansion des formules par Tinterpr6teur (3), celui-ci a stocke dans une pile 

15 (18) les clauses positives correspondant aux formules qui peuvent etre 
satisfaites. Ainsi & la fin de Texpansion, les formules et fs sont dans la pile 
(18i), comme represents a la figure 2, et la table des compteurs de litteraux 
n6gatifs des clauses du tableau est constitute des informations representees 
par la reference (7i) sur cette figure. Dans la phase de resolution, 

20 Talgorithme de traitement de clauses (6), lorsqu'il est lance par Nnterpreteur 
une fois que celui-ci a rempli les tables (5, 7 et 18) apres avoir examine les 
lignes d'enregistrements du fichier compte-rendu, va commencer par 
examiner le dessus de la pile (18) et en extraire Tinformation que la 
configuration /a, en Toccurrence, est satisfaite. Ualgorithme examine ensuite 

25 dans la table (5) les clauses qui ont cette configuration en partie negative, en 
Poccurrence la configuration et en deduit le compteur qu'il doit 
d6crementer. Le compteur (7 2 ) repr6sente revolution dans le compteur (7^ 
du compteur qui est associe a la formule representee dans la partie positive. 
Ualgorithme decr6mente le compteur correspondant, en Toccurrence celui de 

30 la configuration / 7) et met dans le haut de la pile la valeur « 7 » de la 
configuration qui est vraie, comme represente dans la case (I82) qui 
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represente revolution de la pile (18) alors que la colonne (72) represente 
revolution du compteur. Puis ralgorithme de resolution des clauses va 
proc6der par iteration en recherchant les clauses qui ont la configuration // 
en partie negative pour en deduire que la configuration / 3 est vraie et 
5 d6crementer le compteur correspondant a cette ligne de configurations, 
comme represente dans la colonne (7 3 ). L'algorithme (6) continue ainsi 
jusqu'a ce que la pile (18) soit vide ou contienne des configurations d£j£ 
traitees et Ton obtient dans la pile (18 5 ) la seule configuration /1 qui verifie la 
specification. 

10 Ualgorithme d'expansion 6vite de repliquer inutilement des 

configurations identiques, representees par leur pointeur en mettant en place 
une table de hachage. La structure de donn6es de table de hachage et les 
algorithmes associ6s sont bien connus de I'homme du metier, voir par 
exemple (Knuth, Donald Erwin, The Art of Computer Programming, vol. 3, 

15 Sorting and Searching, Addison-Wesley, seconde edition, 1998). 

Par ailleurs, on peut egalement effectuer des optimisations liees a 
r expansion des formules, de fagon a 6viter plusieurs etapes. Ainsi au lieu 
d'expanser la formule OF en FVO(OF) puis en F et O(0F) et ensuite en OF a 
Tetat suivant, on I'expanse directement en F et en OF a retat suivant. De 

20 meme, lorsqu'on a une formule du type F A G ou soit F, soit G peut etre 
evalu6 a Tetat courant en faux, on arrete I'expansion de la formule. La 
m6thode d6veloppee par r invention, pr6sente un avantage par rapport & la 
methode connue de Tart anterieur ou Ton etablit dans un premier temps, une 
table de verite de chaque formule atomique telle que celle representee en 

25 annexe 4 puis dans un deuxieme temps, on etablit les tables de verite 
(annexe 5) des sous-formules non atomiques & I'aide de la table de verite de 
Tannexe 4. La verification de modeies se fait ensuite en deux temps. Tout 
d'abord on verifie que les formules atomiques sont vraies ou fausses, ce qui 
oblige pour chaque formule un parcours des etats puis, dans un second 

30 temps, pour etablir les v6rites des sous-formules on est contraint de regarder 
pour chaque formule atomique comment elle se comporte dans chaque etat, 
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ce qui revient a faire plusieurs parcours des enregistrements. Cela 
reviendrait a faire des retours en arriere dans le fichier de compte-rendu avec 
toutes les operations de lecture et de positionnement qui s'en suivent, ce qui, 
6tant donne la grande taille d'un fichier de compte-rendu, peut etre tres 
couteux en temps. La methode developp6e par T invention est beaucoup plus 
performante et econome meme en taille et m6moire pour m6moriser les 6tats 
intermediates. 

Pour permettre une meilleure comprehension de I'algorithme, nous 
allons le d6crire brfevement, puis nous le presenterons de manfere formelle. 

On considere Fs, le fichier de specification, comme une suite finie de 
formules F s dont la syntaxe et la semantique sont definies plus haut. Notons 
F Tensemble de toutes les formules dont la syntaxe et la semantique sont 
definies plus haut. (Ri,..., R| N |) (avec N 6gal au nombre d*enregistrements 
dans le fichier) le fichier de logs A . Les fichiers de logs sont des fichiers de 
compte-rendu de tout ce qui se passe dans un systeme (par exemple, un 
fichier retragant les connexions et les d6connexions des utilisateurs sur les 
machines). Un enregistrement (record) est une fonction R de domaine et 
codomaine finis de E*vers E*, ou I'ensemble des chatnes de caracteres 

R: -> X\ 

Notons respectivement dom(R) et codom(R) pour le domaine de R et 
le codomaine de R. 

Exemple 1 (record) Considerons Tenregistrement R d'un fichier de 

logs : 

Date = 27 : 02 : 2000, operation = connection, machine = papillon, 

resultat = succes, sujet = Machin 
on aura alors : dom(R) = {date, operation, machine, resultat, sujet]} 
ou dom(R) est le domaine et codom le codomaine 
codom(R) = {27 : 02 : 2000, connection, papillon, succes, Machin} et 

R : E # 
date-> 27 : 02 : 2000 
operation-* connection 
machine-* papillon 
resultat-^ succes 
sujet-* Machin. 
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Un fichier de logs est done une suite (finie) d'enregistrements Ri, 

R\h\. 

Soit « Current » et « Next » 9 des ensembles de representations de 
formules (dans la suite de la description, on dira "formule" pour 
5 "representation de formule") ; Current est I'ensemble des formules a 
examiner a I'etat courant, et Next est I'ensemble des formules qu'il faudra 
examiner a I'etat suivant 

A chaque 6tat, I'ensemble « Current » est I'union de I'ensemble 
« Next » et des formules Fs associ6es a I'etat courant. C'est ce que dit 
10 I'etape 2 de I'algorithme. 

L'etat courant est represent6 par rentier /, 1 < / < I N| . 

On parcourt en une fois le fichier de compte-rendu « logs », et 
pendant ce parcours, a chaque etat, e'est-a-dire a chaque enregistrement 
(record) du fichier, on regarde quelles sont les formules de I'ensemble 

15 Current qui sont verifiees, et pour celles qui contiennent des op6rateurs du 
futur, on les ajoute a I'ensemble « Next » pour pouvoir les examiner a l'6tat 
suivant. C'est ce que fait la procedure « Expand » a I'etape 3) de 
I'algorithme. Cette procedure extrait les sous-formules de chaque formule 
r§cursivement, stocke leurs implications logiques les concernant sous 

20 forme de clauses de Horn dans une matrice M (par exemple, pour une 
formule F = Fi V F 2 , on aura les clauses Fi — > F et F2 -» F, et pour celles 
qui sont atomiques, si elles sont verifiees a I'etat courant (c'est ce que 
cherche la procedure « match » qui apparaTt dans « Expand », elle les 
stocke dans une pile (Stack) qui est une pile de representation de 

25 formules. Une fois que toutes les formules ont ete expansees & I'etat 
courant, on r6soud ce qui peut I'etre a I'aide de la matrice et de la pile 
(c'est ce que fait la procedure « resolve_matrice » & I'etape 4) de 
I'algorithme. Ainsi, grace aux formules atomiques qui I'etaient et aux 
clauses, on trouvera memorise dans le fichier « ResForm » (qui est un 

30 ensemble de representations de formules) toutes les formules qui sont 
verifiees. 
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Ces etapes sont it§rees jusqu'3 la fin du fichier de « logs » (on le voit 
a I'etape 4) de I'algorithme). Enfin, quand tout le fichier de « logs » est 
parcouru, la procedure « Satis » de I'etape 5) compare les formules du 
fichier ResForm, qui sont toutes des formules verifiees a un certain etat 
mais qui sont des sous-formules de formules du fichier de specification, et 
les formules du fichier de specification, pour pouvoir dire lesquelles sont 
verifiees et a quel(s) 6tat(s). 

Voici maintenant I'algorithme proprement dit : 
1)/=0; 

Current := 0 ; 
Next := 0 ; 
ResForm := 0 ; 
Stack := pile_vide ; 

«=<); 

2) Current := {Repr(F, i)/F€F s }[J Next ; 

ou Repr(F, i) est une representation memorisee de F a I'etat / 
Next ;= 0 ; 

3) tant que Current * 0 faire : 
soit / G Current ; 

Current := Currents {/} ; 
Expand(f) ; 

4) resolve_matrice ; 
si/<l Nl 

alors / := / + 1 ; 
aller en 2) ; 
sinon aller en 5) ; 


5) Satis ; 
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Nous allons maintenant definir les differentes procedures utilisees 
dans ralgorithme : 

Procedure « Expand(f) », ou / est une representation de formules. 
Pour plus de clarte, nous allons presenter cette procedure a I'aide 
5 d'un tableau dont nous allons expliquer la signification : 

- la colonne "Formule" est exactement : form (/), c'est-a-dire la 
formule representee par /, 

- la colonne "Current (resp. "Next 1 ) d6signe toutes les 
representations de formules qui sont ajoutees a I'ensemble "Current 9 

10 (resp. "Next"), 

- la colonne "Clause" d6signe les clauses qui sont stock6es dans la 
matrice avec la procedure inserer^clause decrite plus loin, 

- les representations de formules ajoutees a I'ensemble "Current se 
font a leurtour expanser r6cursivement, 

is - les formules atomiques et les formules de la forme -i F* ou Fi est 

une formule atomique, sont traitees separement : si la formule atomique 
correspond a Tenregistrement courant (match Irecord) (la procedure 
« match » sera definie plus loin), alors cette formule est v6rifiee a Tetat / ; 
si la formule atomique F t ne matche pas le record courant, alors -iF* est 

20 verifiee a Tetat /. Plus formellement : 

- Si form(f) est une formule atomique, 

si match(f) = TRUE 

alors Stack = Empiler(Stack, f) ; 

- Si form(f) est de la forme -iF1, F1 formule atomique, 
25 soit /-i = Repr(F 1t i) ; 

si match(fi) = FALSE 

alors Stack = Empiler (Stack, f) ; 


30 
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Formule 

Current 

A/exf 

Clause 

F, a F 2 

= Repr(F u i) 
f 2 = Repr(F 2 , i) 


f 1 a f 2 -*■ f 

F1 V F2 

/, = Repr(F u i) 
f 2 = ReprfF* i) 


f,-*f 
h-+S 

OF, 


/, = Repr(F 1t i + 1) 

fi-+f 

OF, 


/, = Repr(F it i + 1) 
si /' * I Nl (*) 

fi-+f 

OF, 

f, = Repr(Fi, i) 

U = ReprfQF,, i + 

fi-+f 
h-*f 

□F, 

= KeprfF,, /) 

/ 2 = Repr(OF 1t i + 
1) 

fi*fz->f 

F,UF 2 

/, = ReprfF, A 0(F, U 
F 2 ), 0 
/ 2 = ReprfFz, i) 


U->f 

F, WF 2 

fi=Repr(nF 1r i) 
fz^ReprfFiUFz.,!) 


U->1 
h->1 

-"(F2 A FjJ 

fi = Repr(->F 2 v -,F 3 , i) 


U->J 

~> (F2 VF^ 

U = Repr(-iF 2 A -iFj, i) 


fi-+f 

-(-Fa; 

/, = Repr(F 2 , i) 


f,-+f 

-. (OFaP 

U = Repr(0(-yF 2 , i) 



-1 (OF^ 

U = Repr(0(->F 2 , i) 


fi^f 

-.(OFzJ 

J, = ReprfO (-.F 2 , i) 


h->1 

-1 (DFa) 

f, = Repr(0 (-.Fa i) 


h^f 

^F 2 UF3) 

f, = Repr(U (iF 3 , i) 
U = Repr(->F 3 U (-.F 2 , 
a,D F 3j ), 1) 


fi->f 

fz-*f 

^(F 2 wf 3 ; 

F, = RepW-.FJ U (-.F 2 , 
A,"« Faj, 0 


U->1 


(*) : sinon, c'est-&-dire si / = I N| , 

U = Repr(F 1r i) 

Stack = Empiler{Stack t /-i) ; 


Procedure « match(/) », ou f est une representation de formules 

Cas form (/) : 

- si c'est de la forme {idi = ti id n = t n ,...}, alors : 

- si Vj, 1 <j <n, idj c Dom (Rj), et match-term (Ri(idj), tj, /) 
-alors TRUE 

- sinon FALSE 

- si c'est de la forme {idi= t 1( ..., id n = t n }, alors : 

- si n= |dom(Rj) | et j, 1 <j <n, idj e Dom (Rj), 
et match-term (Ri(idj), tj, /) 

- alors TRUE 

- sinon FALSE 

- Procedure « match-term » (w, t, /), ou w, t £ L* U V et / est 

une representation de formule : 
cas t : 

- si t est un regex : 

- si Reg (w,t) 

- alors TRUE. 

- sinon FALSE 

- si t est une variable x : 

Notation : p(x) est une fonction partielle de Tensemble des variables 
V vers Tensemble des chames de caracteres s * 

- si p(x) est d6fini 

- si p(x) = w 

- alors TRUE 

- sinon FALSE 

- si p(x) n'est pas defini, alors 

Notation : £ est I'environnement constitue des couples dont la 
premiere composante est prise dans I'ensemble des variables et la deuxieme 
composante dans I'ensemble des chaTnes de caracteres 
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-e: = e U {(x,w)} ; 
- TRUE ; 


Procedure Inserer-clause (H), ou H est une clause de Horn ayant 
une ou deux representations de formules en partie negative : 

Notation : Si M est une matrice m x n, m, n € N, notons m,/ 
I'element de la i 6me Iign6 indexe par/, et de maniere semblable m f j et m*,/*. 

Cas H : 

- si H est de la forme /1 -» /, alors 

- s'il existe deja une colonne de M indiqu§e par 

- alors, ajouter une ligne indicee par f avec m//i = 1 ; 

- sinon, ajouter une colonne indicee par / et une ligne 
indicee par/i avec m/,/i = 1 ; 

- si H est de la forme /1 A / 2 , alors : 

- si ni /1, ni f 2 ne sont indice d'aucune colonne de M 

- alors, ajouter 2 colonnes indicees par / 1 et f 2 et une 
ligne indicee par / avec m/,/i= m/ f /2=2 

- si seulement Tun des f\, i = 1,2 n'est pas indice d'une 
colonne de m alors ; 

- ajouter une colonne indicee par f \ et une ligne indicee 
par / avec m /f /i = m/./j = 2, ou j € {1 ,2} \ {i} 

- si f^ et /2 sont indices de colonnes de M, alors : 

- ajouter une ligne indicee par / avec m/ (/1 = m/ ( / 2 = 2 


Procedure resolve-matrice 


- si Stack = pile-vide, alors rien ; 

- sinon soit / : = depiler (Stack) ; Vj tel que u\\j est P6l§ment existe 

faire : 

- nrv = m, t /- 1 ; 

- Vjtel que my existe faire : m i( j := mjj-1 
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- si rriij = 0, alors ; 

- soit /1 Tindice de la ligne m it f 

- si /1 £ Res-Form, alors : 

- Stack : = empiler (Stack, /1) 

- Res-form := Res-Form U { ffi 

- suppr (mi,/) ; 

- si la i 6me ligne la supprimer, si la colonne indic6e par / 
est vide la supprimer 

Satis : 

Tant que Stack * pile- vide faire : 

- soit /1 = depiler (Stack) ; 

- si /1 e F s alors form (/) est verifiee a I'etat etat(/) 


Toute modification a la portee de I'homme du metier fait partie de 
resprit de Tinvention. 
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ANNEXE 


10 


15 


20 


Annexe 1 

{op = « connection », result = « failed »,...} 

et plus tard {op = « connection », result = « succes »,...} 

Annexe 2 

: { 0 p = « connection », result = « failed « , subject = « machin »} 
E2 : {op = « connection », result = « succes », subject = « machin », 
date = « 14 : 09 : 99 »} 


E3 : {op = « exec », result = « succes », object = « emacs », mode 


« tex », 


subject = « machin »} 
Annexe 3 

FA 0 H ou F et H sont des formules atomiques de detection 
d'evenement exprimee en logique temporelle a partir de formules 
atomiques. 


E1 
E2 
E3 


{F} 
{H} 
{G} 
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Annexe 4 


ETATS 

F 

H 

E1 

1 

0 

R2 

0 

1 

R3 

0 

0 


Tables de verite des formules atomiques 
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Annexe 5 


ETATS 

OH 

F A 0 H 

E1 

1 

1 

E2 

1 

0 

E3 

0 

0 


Tables de verite des formules non 
atomiques 

Annexe 7 


ETATS 

Formules et sous-formules 

Clauses engendrees 

E1 

F A 0 H 


(/1) 




F 

(/ 2 ) 

(/ 2 ) 



0 H 

(/a) 

(/ 2 )A(/ 3 )->(/i) 


(/a) 

H 

(/4) 

(/ 4 ) -*FALSE 

E2 

F A 0 H 


(/e) 



(/a) 

OH 

Ui) 

</ 7 )-K/ 3 ) 


(/r) : 

H 

(/a) 

(ft) 


(/e): 

F 

(/ 9 ) 

C/e)-K fr) 





(/ 6 )->FALSE 

E3 

F A 0 H 


(/10) 



(//) 

OH 

(/11) 

(/ii)->(/ 7 ) 



H 

(/12) 

(/ 12 ) -+FALSE 


(/10) : 

F 

(/13) 

(/n)-»FALSE 
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Annexe 6 


ETATS 


Formules et sous-formules 


Clauses engendrees 


E1 


E2 


E3 


FAO H 

(/1): 

</ 3 ): 


F 
OH 
H V O (0 H) 
H 


0( OH) 


FAO H 

(/e) 
(/e): 

(/a): 


(fi) 


(OH) 
H V O (0 H) 
H 


O(0H) 
(OH) 


(/«) 
(fu) 


H V O (0 H) 


H 


O(0H) 


FAO H 
(/11) 
(/is) 
(/«) 


(/«) 
(/») 
(/as) 


0 H 
H V O (0 H) 
H 


O(0H) 
(OH) 

H 


H V O (0 H 


(/it) : 

(/ 27 ) : 
(/2a) : 


0(0 H) 

F 
0 H 

H V O (0 H) 
H 


Q( OH) 


</i) 
</ 2 ) 
(/s) 
(U) 
(/s) 


(/e) 


U?) 
(/e) 
(/ 9 ) 
(/io) 


(/11) 
(/12) 
(/13) 

(/14) 

(/is) 


(/«) 


(/it) 
(/«) 
(/io) 
(/») 

(/») 
(/») 
</ 23 ) 

(/24) 


</») 

(/ 28 ) 
(/ 27 ) 
(/ 28 ) 
(/») 


J/aoL 


(/ 2 ) 

(/ 2 ) A (/ 3 ) ->(/,) 

(/4)-> (/ 3 ) 
(/ 5 ) -K/4) 

(/ 5 ) -+FALSE 
(h) -»(/4) 


(/ 8 )-»(/ 6 ) 

(/9)->(/<0 

(/io) -> (/ 9 ) 
(/10) 

(/11)-> </ 9 ) 

(/«)-> FALSE 
(/i 2 ) A (/ 13 )-> (/ 7 ) 

(/l4>-> (/«) 
(/is)-> (/14) 
(/is) 

(/«) ->( fu) 


(/«) ->(/n) 
(/«) ->(/ia) 

(/ 2 o) ->(/l 9 ) 

(/ 20 ) ->FALSE 
(/«) -K/19) 
(/22) ^(/i 8 ) 
(/ 23 ) ~>(/22) 
(/ 2 4) -»(/ 23 ) 

(/ 24 ) FALSE 

(/*) ->(/ 23 ) 
(/») -»FALSE 
(/ 26 ) -+FALSE 
(/as) A (/ 27 )->(/i 7 ) 
(/ 28 )-»(/ 27 ) 
</»)-K/2a) 
(/ 2 9) ->FALSE 
(/so) ->(/ 28 ) 
(/so) ->FALSE 


REVENDICATIONS 


LProcede performant de resolution de specifications caract6ris6 en 
5 ce qu'il comporte : 

a) une etape de formulation des conditions d'audit que Ton veut 
detecter a I'aide de formules de specification, exprimant des schemas 
d'attaque ou d' introduction frauduleuse, ou encore d'anomalies, ceci n'etant 
pas limitatif, a verifier par I'examen des enregistrements du fichier compte- 

10 rendu du systeme ; 

b) une 6tape d'expansion des formules en sous-formules; 

c) une etape consistant a engendrer pour chaque formule expansee a 
chaque enregistrement des clauses de Horn d resoudre pour detecter si la 
formule est valide ou non a cet enregistrement, les clauses de Horn 

15 exprimant les implications r6solvantes des sous-formules pour chaque 
enregistrement balaye, en clauses positives, c'est-a-dire ne comptant qu'un 
litteral positif, et en clauses non positives, c'est 7 a-dire comptant au moins un 
litteral negatif, lesquels litteraux negatifs forment la partie negative de la 
clause ; 

20 d) une etape de memorisation des clauses de Horn positives dans une 

pile de sous-formules ceuvrees et une etape de memorisation dans un 
tableau comportant une representation de la ou des sous-formules 
impliquantes constituant la partie negative de la clause et du lien avec la ou 
les sous-formules impliquees constituant la partie positive de la clause et 

25 memorisation dans un compteur du nombre de formules ou sous-formules 
presentes dans la partie negative de la clause pour chaque sous-formule 
impliquee ; 

e) une etape de resolution du tableau a partir de chaque clause 
positive rencontree ; 

30 f) une etape d'iteration des etapes b) a e) jusqu'au parcours complet 

de tous les enregistrements du fichier compte-rendu. 
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2. Proc6de selon la revendication 1, caracterise par le fait que pour 
ia formulation de la specification, une logique temporelle est utilisee. 

3. Proced6 selon la revendication 1 , caract6rise en ce que le tableau 
est matriciel et index6 en colonnes par les indices des formules apparaissant 

5 dans la partie negative des clauses de Horn et les lignes sont exactement les 
clauses de Horn. 

4. Procede selon la revendication 1 , caracterise en ce que le tableau 
est represents sous forme de matrice creuse, les colonnes etant 
representees au moyen de listes chaTn6es et les lignes demeurant implicites, 

10 est preferee 

5. Procede selon les revendications 1 ou 2, caracterise en ce qu'une 
etape d'optimisation de T expansion des formules est obtenue par une table 
de hachage dans le but d'assurer qu'une meme formule n'est pas expansee 
plus d'une fois a chaque enregistrement. 

is 6. Proc6d6 selon la revendication 1, caracterise en ce que le fichier 

compte-rendu n'est parcouru qu'une seule fois du debut jusqu'S la fin. 

7. Dispositif permettant la mise en oeuvre du procede selon une des 
revendications 1 a 6, caract6rise en ce que le dispositif de resolution d'un 
modele comporte : 

20 - un logiciel adaptateur permettant de traduire les informations du fichier 
compte-rendu formulees dans le langage specifique de la machine en un 
langage comprehensible de I'interpreteur ; 

- un interpr6teur recevant les informations de I'adaptateur et recevant la 
formulation de la specification dans la logique temporelle en une formule de 

25 specification pour expanser cette formule et remplir le tableau et la pile de 
sous-formules oeuvrees decrits plus haut resultant du balayage du fichier 
compte-rendu de la machine ; 

- un algorithme de traitement de clauses permettant de resoudre les clauses 
de Horn utilisant les informations du tableau et de la pile de sous-formules 

30 oeuvrees, cet algorithme de traitement de clauses generant un fichier de 
sortie ou generant une action. 
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FeutUe recti^e 
1 


REVENDICATIONS 

1 . Procede performant de resolution de specifications caract6ris6 
en ce qu'il comporte : 

a) une etape de formulation des conditions d'audit que Ton veut 
detecter d I'aide de formules de specification, exprimant des sch&mas 
d'attaque ou d'introduction frauduleuse, ou encore d'anomalies, ceci n'6tant 
pas limitatif, a verifier par I'examen des enregistrements du fichier compte- 
rendu du systeme informatique ; 

b) une etape d'expansion par un algorithme des formules en sous- 
formules; 

c) une etape de balayage par un interpreter consistant a 
engendrer pour chaque formule expans6e d chaque enregistrement des 
clauses de Horn d r§soudre pour detecter si la formule est valide ou non a 
cet enregistrement, les clauses de Horn exprimant les implications 
resolvantes des sous-formules pour chaque enregistrement balaye, en 
clauses positives, c'est-d-dire ne comptant qu'un litteral positif, et en clauses 
non positives, c'est-d-dire comptant au moins un litteral negatif, lesqueis 
Iitt6raux negatifs ferment la partie n6gative de la clause ; 

d) une etape de memorisation des clauses de Horn positives dans 
une pile de sous-formules oeuvrees et une 6tape de memorisation dans un 
tableau comportant une representation de la ou des sous-formules 
impliquantes constituant la partie negative de la clause et du lien avec la ou 
les sous-formules impliqu6es constituant la partie positive de la clause et 
memorisation dans un compteur du nombre de formules ou sous-formules 
presentes dans la partie n6gative de la clause pour chaque sous-formule 
impliquee ; 

e) une etape de resolution du tableau d partir de chaque clause 
positive rencontr£e pour generer soit un fichier de sortie, soit une action du 
systeme informatique ; 


m r - * Feultte ret** 68 

f) une etape d'iteration des etapes b) d e) jusqu'au parcours 
complet de tous les enregistrements du fichier compte-rendu. 

2. Proc6de selon la revendication 1 f caracterise par le fait que pour 
5 la formulation de la specification, une logique temporelle est utilis6e. 

3. Precede selon la revendication 1, caracterise en ce que le tableau 
est rnatriciel et indexe en colonnes par les indices des formules apparaissant 
dans la partie negative des clauses de Horn et les lignes sont exactement les 
clauses de Horn. 

io 4. Proc6d6 selon la revendication 1 , caracterise en ce que le tableau 

est represents sous forme de matrice creuse, les colonnes etant 
representees au moyen de listes chaTnees et les lignes demeurant implicites, 
est pr6fer6e 

5. Proc6de selon les revendications 1 ou 2, caracterise en ce qu'une 
15 etape d'optimisation de I'expansion des formules est obtenue par une table 

de hachage dans le but d'assurer qu'une meme formule n'est pas expans&e 
plus d'une fois a chaque enregistrement. 

6. Procede selon la revendication 1, caracterise en ce que le fichier 
compte-rendu n'est parcouru qu'une seule fois du d6but jusqu'd la fin. 

20 7. Dispositif permettant la mise en oeuvre du proc6de selon une des 

revendications 1 a 6, caract£ris£ en ce que le dispositif de resolution d'un 
modele comporte : 

- un logiciel adaptateur execute par le systeme informatique permettant de 
traduire les informations du fichier compte-rendu formulees dans le langage 

25 sp6cifique de la machine en un langage comprehensible de Tinterpreteur ; 

- un interpreter execute par le systeme informatique recevant les 
informations de I' adaptateur et recevant la formulation de la specification 
dans la logique temporelle en une formule de specification pour expanser 
cette formule et remplir le tableau et la pile de sous-formules oeuvr6es 

30 memoris6es dans une memoire du systeme informatique et resultant du 
balayage du fichier compte-rendu du systeme informatique; 


■ grille rectWSe 
A 

- un algorithrne de traitement de clauses ex6cute par le systeme informatique 
permettant de resoudre les clauses de Horn utilisant les informations du 
tableau et de la pile de sous-formules oeuvr6es, cet algorithrne de traitement 
de clauses g6n6rant un fichier de sortie ou g6n6rant une action. 


22 FeuiJIe recuriee 

x 

f) une etape d'iteration des £tapes b) a e) jusqu'au parcours 
complet de tous les enregistrements du fichier compte-rendu. 

2. Proc6de selon la revendication 1, caracterise par le fait que pour 
5 la formulation de la specification, une logique temporelle est utilisee. 

3. ProcSde selon la revendication 1, caracterise en ce que le tableau 
est matriciel et indexe en cdlonnes par les indices des formules apparaissant 
dans la partie negative des clauses de Horn et les lignes sont exactement les 
clauses de Horn. 

10 4. Precede selon la revendication 1, caracterise en ce que le tableau 

est represents sous forme de matrice creuse, les colonnes 6tant 
representees au moyen de listes chamees et les lignes demeurant implicites, 
est preferee 

5. Proced6 selon les revendications 1 ou 2, caracterise en ce qu'une 
15 etape d'optimisation de Texpansion des formules est obtenue par une table 

de hachage dans le but d'assurer qu'une meme formule n'est pas expansee 
plus d'une fois £ chaque enregistrement. 

6. Proc6de selon la revendication 1 , caracterise en ce que le fichier 
compte-rendu n'est parcouru qu'une seule fois du debut jusqu'a la fin. 

20 7. Systeme informatique comportant des moyens de memorisation et 

des moyens d'execution de programmes permettant la mise en oeuvre du 
procede selon une des revendications 1 a 6, caracterise en ce que le 
systeme comporte : 

- un moyen adaptateur permettant de traduire les informations du fichier 
25 compte-rendu formulees dans le langage specifique de la machine en un 

langage comprehensible d'un moyen interpreteur ; 

- le moyen interpreteur recevant les informations de Tadaptateur et recevant 
la formulation de la specification dans la logique temporelle en une formule 
de specification pour expanser cette formule et remplir le tableau et la pile de 

30 sous-formules oeuvrees memorisees dans une mernoire du systeme 
informatique et resultant du balayage du fichier compte-rendu du systeme 
informatique; 


23 


Peullie rectifies 

i 


- un algorithme de traitement de clauses execute par le systeme informatique 
permettant de resoudre les clauses de Horn utilisant les informations du 
tableau et de la pile de sous-formules oeuvrees, cet algorithme de traitement 
de clauses generant un fichier de sortie ou generant une action. 
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